Chi dovrebbe partecipare
IT Auditor ed Aspiranti auditor e lead auditor ISO/IEC 27001 sulla sicurezza delle informazioni
Prerequisiti
Raccomandata, ma non obbligatoria, esperienza in gestione della Protezione e Sicurezza delle informazioni.
In caso si sia già conseguita una precedente certificazione A/LA su qualche altra norma ISO, che risulti riconosciuta da AICQ-SICEV o altro ente di formazione equivalente, è possibile partecipare al solo Modulo 2, viceversa è obbligatorio partecipare ad entrambi i Moduli per una frequenza totale di 5 giornate
Obiettivi del Corso
Il corso consente di conseguire una certificazione ISO IEC 27001 A/LA riconosciuta AICQ-SICEV aggiornata alla più recente versione 2022 e di apprendere le tecniche di auditing necessarie per eseguire audit di prima, seconda e terza parte (ISO19011, ISO17021).
Contenuti del Corso
Corso di certificazione per diventare auditor ISO/IEC 27001. Pensato per aziende che desiderano formare il proprio personale nella conduzione di audit di sicurezza delle informazioni, garantendo la conformità agli standard internazionali.
Il corso, prevede l’approfondimento dei seguenti temi di Data Protection, integrati con esercitazioni e casi di studio mirati ad approfondire nella pratica le modalità di esecuzione delle attività di audit sulla norma:
MODULO 1 (2 giorni)
Area Auditing
(Sistema di accreditamento e certificazione nazionale ed europeo; Riferimenti normativi; Norme ISO 19011, ISO/IEC 17021 e ISO/IEC 27006; Principi dell’attività di audit; Audit dei processi e dei controlli di sicurezza; Schema di certificazione AICQ-SICEV per ISMS auditor; Codice deontologico AICQ-SICEV dell’auditor)
MODULO 2 (3 giorni)
Interpretazione della norma ISO/IEC 27001
(La gestione dei rischi relativi al sistema di gestione e alla sicurezza delle informazioni e l’approccio per processi; Elementi di valutazione (identificazione, analisi e ponderazione) e trattamento dei rischi; I controlli di sicurezza applicabili proposti dall’Annex A della ISO/IEC 27001 e dalla ISO/IEC 27002; Il modello organizzativo della sicurezza: il ciclo Plan-Do-Check-Act del miglioramento continuo; Correlazione con gli altri standard della famiglia ISO/IEC 27000.)
Area Legale
(Riferimenti legislativi attuali (Privacy/GDPR, Statuto dei Lavoratori, Dlgs. 231/2001, …); Aspetti contrattuali relativi a fornitori, clienti, terze parti).
Area Tecnologica
(Elementi di base dell’ICT e della sicurezza delle informazioni e informatica; I controlli di sicurezza per l’ICT; La gestione degli incidenti; Business continuity, Disaster recovery e Crisis management).
Area Management
(Aspetti organizzativi dell’Information technology; Responsabilità coinvolte nella sicurezza delle informazioni)
ESAME
Il corso termina con un esame, che prevede un mix tra prove scritte ed orali. I partecipanti che avranno sostenuto, con esito positivo, le prove previste riceveranno l’attestato di superamento del corso (riconosciuto AICQ-SICEV) per la figura professionale di Information Security Auditor/Lead Auditor. In caso di mancato superamento sarà emesso un attestato di partecipazione, con la possibilità di ripetere l’esame una sola volta entro i 12 mesi.